A hamis iTerm2 webhely az OSX.ZuRu rosszindulatú programot terjeszti
Míg a legtöbb kiberbűnöző továbbra is erősen céloz a Windows gépekre, vannak merészebb csoportok, akik egzotikusabb célpontokat - például a macOS rendszereket - követnek el. Az OSX.ZuRu az egyik legújabb azonosított rosszindulatú program, amely kizárólag a Mac után fut. Alkotói úgy tűnik, a szponzorált keresési találatokra támaszkodva próbálják a felhasználókat egy rosszindulatú oldalra irányítani. A bűnözők valójában az iTerm2 nevű törvényes macOS eszköz nevét hamisítják. A hivatalos webhely az iTerm2.com, de a bűnözők hamis verziót tárolnak az iTerm2.net -en. A második oldalt úgy tervezték, hogy pontosan úgy nézzen ki, mint az eredeti. A szponzorált keresési eredmények használata miatt az iTerm2 -t kereső felhasználók véletlenül kölcsönözhetnek a hamis webhelyen.
Jelenleg úgy tűnik, hogy a bűnözők csak a kínai Baidu keresőmotort célozzák meg. Azonban nem lenne meglepő, ha a közeljövőben megpróbálnák bővíteni működésüket. Amint a felhasználó megpróbálja letölteni az iTerm-et a hamis weboldalról, egy harmadik féltől származó tárhelyszolgáltatásra irányítják , amely lekéri az iTerm.dmg fájlt. Eddig a felhasználó képernyőjén minden normálisnak tűnik - az egyetlen észrevehető piros zászló a kissé eltérő domain név. A legtöbb ember azonban ezt nem veszi észre.
De ez messze nem minden, amit a szélhámosok tettek, hogy elrejtsék rosszindulatú tevékenységüket. Miután a felhasználó végrehajtotta és telepítette a gyanús iTerm.dmg alkalmazást, végül hozzáférést kap az iTerm héj másolatához. Valójában úgy tűnik, hogy az eredetihez hasonlóan működik. Ugyanakkor rosszindulatú kódot is végrehajt a háttérben, ahol az igazi varázslat történik.
Mit csinál az OSX.ZuRu?
A rosszindulatú program első lépése, hogy csatlakozik egy távoli webalkalmazáshoz, és adatokat küld az áldozatról. Az elsődleges információ, amelyet küld, az eszköz sorozatszáma. Ezt követően megpróbál második kapcsolatot létesíteni egy rosszindulatú webszerverrel. Ez utóbbi a veszélyes rész - a hasznos terhelések hosszú listáját nyújthatja. Ezek a rejtett letöltések gyakran a jogos alkalmazások és szolgáltatások nevét viselik - pl. Google Update.
Úgy tűnik, hogy az egyik hasznos terhelés olyan szkript, amely kiszűr egy bizonyos adatot a fertőzött rendszerből - kulcstartó, gazdagép fájl, bash előzmény, mappa neve stb. A másik a Cobalt Strike Beacon másolata. Ez egy biztonsági penetrációs keretrendszer, amelyet a kiberbűnözők néha használnak.
Nyilvánvaló, hogy a kiberbűnözők mindenféle csúnya trükkel kísérleteznek, hogy elérjék áldozataikat. Az OSX.ZuRu kampány különösen izgalmas ilyen módon. A rendszer és az adatok biztonságának legjobb módja a víruskereső szoftver használata.
